ログ速トップ
1 : ニライカナイφ ★[] 投稿日:2018/05/08(火) 22:30:29.05 ID:CAP_USER9.net [1/1回]
◆ついにセキュリティ対策ソフトで検出できない攻撃「Process Doppelganging」を利用したマルウェアの存在が確認される

セキュリティ対策ソフトによる検出が極めて困難なハッキング手法の「Process Doppelganging(プロセス ドッペルギャンギング)」が、2017年12月にBlack Hat Europe 2017で発表されていましたが、ついにProcess Doppelgangingを活用した初めてのマルウェア「SynAck」の存在が確認されました。

SynAck targeted ransomware uses the Doppelganging technique - Securelist
https://securelist.com/synack-targeted-ransomware-uses-the-doppelganging-technique/85431/

First-Ever Ransomware Found Using ‘Process Doppelganging’ Attack to Evade Detection
https://thehackernews.com/2018/05/synack-process-doppelganging.html

(PDFファイル)Process Doppelgangingは「Process Hollowing(プロセス ハロウィング)」に類似したコードインジェクションツールで、悪意あるコードがプロセスを強制的に停止させ、代替コードを注入するハッキング技術です。
Process HollowingではWindowsの「explorer.exe」などの正当かつごく一般的なプロセスを悪意のあるコードの隠れみのにしますが、実行ファイルの命令はメモリに直接書き込まれるため、セキュリティ対策ソフトによる検出が可能です。

これに対して、Process Doppelgangingではメモリに書き込むことはせずストレージ上でNTFSトランザクションを始動してマルウェアなどに命令を出します。
その後トランザクションは即座に破棄されるため痕跡が残らず、セキュリティ対策ソフトによる検出が非常に難しいという特性を持ちます。

Kaspersky Labの研究者が、Process Doppelganging技術を用いたマルウェア(トランザムウェア)を発見しました。
このマルウェアは「SynAck」の亜種で、アメリカ、クウェート、ドイツ、イランをターゲットにしているとのこと。

マルウェア自体は2017年9月に発見されていましたが、リバースエンジニアリングを防止するべくコードの難読化対策が施されていたそうです。
Kaspersky Labが突き止めた、ハッシュ値とAPI関数の対応は以下の通り。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a03_m.png

SynAckは、ユーザーの国を特定するために、まずPCにインストールされているキーボードレイアウトとマルウェア内のリストを照合します。
リストとの一致が確認されると300秒間のスリープ状態を経て、ExitProcessを呼び出してファイルの暗号化を阻止するとのこと。
なお、SynAckはロシア、ベラルーシ、ウクライナ、ジョージア、タジキスタン、カザフスタン、ウズベキスタンのユーザーには感染しない設定になっていたことも確認されています。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a01_m.png

感染するとSynAckはAES-256-ECBアルゴリズムでファイルを暗号化し、攻撃者の要求に従うことで解読鍵を渡すといういわゆるランサムウェアとしての本領を発揮します。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a02_m.png

また、SynAckはレジストリ内のLegalNoticeCaptionやLegalNoticeTextを変更することで、Windowsのログイン画面に任意のテキストを追加することも可能だとのこと。
PC起動時に攻撃されたことをユーザーに知らせることもできます。
https://i.gzn.jp/img/2018/05/08/synack-process-doppelganging/a04_m.png

Kaspersky LabはProcess Doppelganging採用のSynAckがどのように広がっているのかという感染経路について明らかにしていませんが、ほとんどのマルウェアがフィッシングメールやウェブ上の悪質な広告バナー、サードパーティ製のアプリなどを経由していることから、これらの作業はより慎重に行う必要があります。
Process Doppelganging採用マルウェアの検出がセキュリティ対策ソフトで困難なことから、大切なファイルは定期的に外部にバックアップする習慣をつけるなどのごく一般的な対応しか採れない、というのが現状のようです。

GIGAZINE 2018年05月08日 14時00分
https://gigazine.net/news/20180508-synack-process-doppelganging/
2 : ログ速名無し[] 投稿日:2020/01/26 00:16:14
このスレッドを表示するにはこちらで閲覧できます => http://ai.2ch.sc/test/read.cgi/newsplus/1525786229/l50


おすすめスレッド

PR

みんなが見ているスレッド

PR

スポンサードリンク